2.10 リバース機能

キャッシュ機能説明書 (運用管理Webサーバ編)

目次索引

2.10 リバース機能

　リバース機能は、ファイアウォールの外部のWWWクライアントからファイアウォール内部のWWWサーバの資源にアクセスするための機能です。この機能により、ファイアウォール内部のWWWサーバの資源をファイアウォール上、またはファイアウォールの外部のPROXYサーバ上の資源として見せることが可能となり、ファイアウォール内部のWWWサーバの情報が外部に漏れません。さらに、リバース機能とSSL代理中継機能を併用することにより、データを暗号化し、より安全性を高めることができます。
　リバース機能はHTTP、HTTPSで使用できます。

[注意]

PROXYサーバを使用する場合、要求元/中継先などによるアクセス制御が必要です。アクセス制御が未設定の場合、起動および再起動に失敗します。 (Solaris版のみ)
リバース機能を使用する場合、FTP PROXY機能とSSL PROXY機能は指定できません。指定した場合、起動および再起動に失敗します。 (Solaris版のみ)
リバース機能を使用したPROXYサーバに対して、リバース要求以外（中継先が自サーバ以外のHTTP PROXY要求）が通知された場合、以下のエラーメッセージを返します。 (Solaris版のみ)
　　　　400 Bad Request
　　　　request format error

2.10.1 リバース機能(リクエスト変換)

　リバース機能では、クライアントからのリクエスト中継時に、リバース環境設定にしたがってディレクトリ名を変換し、中継先WWWサーバに送信します。
　その際、特定のリクエストヘッダについて削除、またはホスト名やディレクトリ名の変換を行います。それ以外のヘッダ情報はそのままWWWサーバに通知されます。削除または変換の対象となるリクエストヘッダを以下に示します。

　　リクエストヘッダ処理

削除するヘッダ: Range
変換するヘッダ: Host, Referer

2.10.2 リバース機能(レスポンスデータ変換)

　リバース機能では、WWWサーバからのレスポンスデータ中継時に、リバース環境設定にしたがってコンテンツ中のリンク情報の変換と、特定のレスポンスヘッダの削除またはホスト名やディレクトリ名の変換を行います。これにより、ファイアウォール内部のWWWサーバの情報が外部に見えなくなります。本書では、レスポンスデータ変換のことをリンク変換と呼んでいます。
　また、レスポンスデータ変換ではレスポンスデータのコンテンツ種別や、マルチパートデータの種別によって、変換するかしないかを指定できます。マルチパートデータとは、一つのコンテンツの中に複数のコンテンツタイプのデータを含むデータを指します。

　コンテンツ中のリンク変換は、タグで指定されたリンク情報に対して行います。対象となるタグは、どの種別のタグで囲まれた中に記述されているかによって異なります。変換の対象となるタグを以下に示します。

　　コンテンツ変換

<A>から</A>の間: HREF, SRC, LOWSRC
<SCRIPT>から</SCRIPT>の間: location, location.href, location.pathname, action; 　; ( ただし、<XMP> と </XMP> の間は変換しません。)
<APPLET>から</APPLET>の間: CODEBASE, CODE, HREF, SRC, LOWSRC, BACKGROUND, URL, ACTION, BASE, VALUE; 　; ( ただし、 の間および、<! と > の間は変換しません。)
上記のタグに囲まれた箇所以外: HREF, SRC, LOWSRC, BACKGROUND, URL, ACTION, BASE, VALUE; 　; ( ただし、 の間、<! と > の間および、<XMP> と </XMP> の間は変換しません。)

　これら以外のタグで指定されたリンク情報や、JAVA等により記述されたリンク情報、および相対パスで記述されたリンク情報は変換されません。コンテンツ中に、環境設定で定義されていないリンク情報が書かれていた場合は、その処理方法として、エラーメッセージを埋め込む／変換を行わない／削除するのいずれかを選択することができます。
　相対パスとはパスの先頭が“/”ではないものを指します。（例：./1.htm , 1.htmなど）

　また、リバース機能ではレスポンスデータ中継時に、特定のレスポンスヘッダについて削除、またはホスト名やディレクトリ名の変換を行います。それ以外のレスポンスヘッダ情報はそのままクライアントに通知されます。削除または変換の対象となるレスポンスヘッダを以下に示します。

　　レスポンスヘッダ処理

削除するヘッダ: Content-Length, Content-MD5
変換するヘッダ: Content-Location, Location, Set-Cookie

2.10.3 リバース機能の動作例

　図2.17に、ファイアウォール上にPROXYサーバが存在する場合の概要を示します。図2.17の(1)には、内部WWWサーバがHTTPの場合、(2)には、内部WWWサーバがHTTPSの場合でかつコンテンツがすべて相対パスで記述されている場合の例を示します。
　図2.18に、ファイアウォールの外側と内側にPROXYサーバが存在する場合の概要を示します。図2.18の(1)には、内部WWWサーバがHTTPの場合、(2)には、内部WWWサーバがHTTPSの場合でかつコンテンツがすべて相対パスで記述されている場合の例を示します。
　設定方法の詳細については、“11.8　リバース設定”を参照してください。
　なお、図2.17の(1)と(2)のPROXYサーバ（自サーバ名：proxy）および、図2.18の(1)と(2)のPROXYサーバ（自サーバ名：proxy2）の場合の設定は“11.8.1　リバースWWW設定の設定項目”、図2.18の(1)と(2)のPROXYサーバ（自サーバ名：proxy1）の場合の設定は“11.8.2　リバースPROXY設定の設定項目”で行います。

fig2-17

図2.17　ファイアウォール上にPROXYサーバが存在する場合の概要

図2.18　ファイアウォールの外側と内側にPROXYサーバが存在する場合の概要

目次索引